Um ponto final de firewall é um recurso de firewall de nova geração da nuvem que ativa capacidades de proteção avançadas da camada 7, como um serviço de deteção e prevenção de intrusões, na sua rede.
Esta página oferece uma vista geral detalhada dos pontos finais da firewall e das respetivas capacidades.
Especificações
Um ponto final de firewall é um recurso organizacional criado ao nível da zona.
Os pontos finais da firewall executam a inspeção da firewall da camada 7 no tráfego intercetado.
A firewall de nova geração da nuvem usa a tecnologia de interceção de pacotes da Google Cloudpara redirigir de forma transparente o tráfego dos Google Cloud cargas de trabalho numa rede de nuvem virtual privada (VPC) para os pontos finais da firewall.
A interceção de pacotes é uma capacidade que insere de forma transparente dispositivos de rede no caminho do tráfego de rede selecionado sem modificar as respetivas políticas de encaminhamento existentes. Google Cloud
O NGFW na nuvem redireciona o tráfego de carga de trabalho numa rede VPC para o ponto final da firewall apenas se a inspeção da camada 7 estiver configurada para ser aplicada a este fluxo.
O NGFW da nuvem adiciona um identificador de rede VPC a cada pacote redirecionado para o ponto final da firewall para inspeção da camada 7. Se tiver várias redes VPC com intervalos de endereços IP sobrepostos, este identificador de rede ajuda a garantir que cada pacote redirecionado está corretamente associado à respetiva rede VPC.
Pode criar um ponto final de firewall numa zona e anexá-lo a uma ou mais redes VPC para monitorizar cargas de trabalho na mesma zona. Se a sua rede VPC abranger várias zonas, pode anexar um ponto final de firewall em cada zona. Se não anexar um ponto final de firewall a uma rede VPC numa zona específica, não é realizada nenhuma inspeção da camada 7 no tráfego da carga de trabalho para essa zona.
Use a associação de pontos finais de firewall para anexar um ponto final de firewall a uma rede VPC.
O ponto final e as cargas de trabalho para os quais quer ativar a inspeção da camada 7 têm de estar na mesma zona. A criação do ponto final da firewall na mesma zona que as cargas de trabalho tem as seguintes vantagens:
Latência mais baixa. Uma vez que os pontos finais da firewall podem intercetar, inspecionar e reinjetar o tráfego na rede, a latência é inferior à dos pontos finais da firewall em zonas diferentes.
Sem tráfego entre zonas. Manter o tráfego na mesma zona garante custos mais baixos.
Tráfego mais fiável. Manter o tráfego na mesma zona remove o risco de interrupções entre zonas.
Os pontos finais da firewall podem processar até 2 Gbps de tráfego com inspeção de Transport Layer Security (TLS) e 10 Gbps de tráfego sem inspeção de TLS. O envio de mais tráfego pode resultar na perda de pacotes. Para monitorizar a utilização da capacidade do ponto final da firewall, consulte as métricas do ponto final da firewall.
Os pontos finais da firewall podem ter um débito máximo por ligação de 250 Mbps de tráfego com inspeção TLS e 1,25 Gbps de tráfego sem inspeção TLS.
Só pode eliminar um ponto final da firewall quando não existirem redes de VPC associadas.
A Google gere a infraestrutura, o equilíbrio de carga, o dimensionamento automático e o ciclo de vida dos pontos finais da firewall. Quando cria um ponto final de firewall, a Google fornece um conjunto de instâncias de máquinas virtuais (VM) dedicadas, o que garante fiabilidade, desempenho e isolamento de segurança para o seu tráfego, juntamente com a gestão de certificados.
A Google oferece elevada disponibilidade através da utilização de mecanismos de comutação por falha adequados para os pontos finais da firewall, o que garante uma proteção de firewall fiável para todas as instâncias de VM abrangidas na rede VPC anexada.
Associações de pontos finais de firewall
A associação de pontos finais de firewall associa um ponto final de firewall a uma rede VPC na mesma zona. Depois de definir esta associação, o Cloud NGFW encaminha o tráfego de carga de trabalho zonal na sua rede VPC que requer inspeção da camada 7 para o ponto final da firewall anexado.
Funções de gestão de identidade e de acesso
As funções de gestão de identidade e de acesso (IAM) regem as seguintes ações para gerir os pontos finais da firewall:
- Criar um ponto final de firewall numa organização
- Modificar ou eliminar um ponto final da firewall
- Ver detalhes de um ponto final de firewall
- Visualizar todos os pontos finais da firewall configurados numa organização
A tabela seguinte descreve as funções necessárias para cada passo.
| Capacidade | Função necessária |
|---|---|
| Crie um novo ponto final de firewall | Qualquer uma das seguintes funções na organização onde o ponto final da firewall é criado: compute.networkAdmin networksecurity.FirewallEndpointAdmin |
| Modifique um ponto final da firewall existente | Qualquer uma das seguintes funções na organização: compute.networkAdmin networksecurity.FirewallEndpointAdmin |
| Veja detalhes sobre o ponto final da firewall numa organização | Qualquer uma das seguintes funções na organização: compute.networkAdmin compute.networkUser compute.networkViewer networksecurity.FirewallEndpointAdmin |
| Veja todos os pontos finais da firewall numa organização | Qualquer uma das seguintes funções na organização: compute.networkAdmin compute.networkUser compute.networkViewer networksecurity.FirewallEndpointAdmin |
As funções de IAM regem as seguintes ações para as associações de pontos finais da firewall:
- Criar uma associação de ponto final de firewall num projeto
- Modificar ou eliminar uma associação de ponto final de firewall
- Ver detalhes de uma associação de ponto final de firewall
- Ver todas as associações de pontos finais de firewall configuradas num projeto
A tabela seguinte descreve as funções necessárias para cada passo.
| Capacidade | Função necessária |
|---|---|
| Crie uma associação de ponto final de firewall | Qualquer uma das seguintes funções no projeto onde a associação do ponto final da firewall é criada: compute.networkAdmin networksecurity.FirewallEndpointAdmin compute.networkUser na organização, que representa autorizações para associar a VPC (da qual o utilizador é administrador) ao ponto final (que é um recurso pertencente à organização e não necessariamente ao proprietário da VPC). |
| Modifique (atualize ou elimine) as associações de pontos finais da firewall |
Qualquer uma das seguintes funções no projeto onde a rede VPC existe: compute.networkAdmin networksecurity.FirewallEndpointAdmin |
| Veja detalhes sobre a associação de pontos finais da firewall num projeto | Qualquer uma das seguintes funções na organização: compute.networkAdmin compute.networkViewer compute.networkUser networksecurity.FirewallEndpointAdmin |
| Veja todas as associações de pontos finais de firewall num projeto | Qualquer uma das seguintes funções na organização: compute.networkAdmin compute.networkViewer compute.networkUser networksecurity.FirewallEndpointAdmin |
Quotas
Para ver as quotas associadas aos pontos finais da firewall, consulte o artigo Quotas e limites.
Preços
Os preços dos pontos finais da firewall são descritos nos preços do Cloud NGFW.
O que se segue?
- Configure o serviço de deteção e prevenção de intrusões
- Crie e faça a gestão de pontos finais de firewall
- Crie e faça a gestão de associações de pontos finais de firewall